Kylaksizov

Kylaksizov,  про Федины проделки может тоже спросишь? 

Kylaksizov, нет. Именно фильтрацию.
Пример кода. Переделаете под себя:
class XssFilter extends CFilter {         public  $clean = 'all';                protected function preFilter($filterChain)         {                               $this->clean  = trim(strtoupper($this->clean));                 $data = array(                          'GET'    => &$_GET,                          'POST'   => &$_POST,                          'COOKIE' => &$_COOKIE,                          'FILES'  => &$_FILES                 );                                  if($this->clean === 'ALL' || $this->clean === '*')                 {                                                 $this->clean = 'GET,POST,COOKIE,FILES';                 }                 $dataForClean = split(',',$this->clean);                 if(count($dataForClean))                 {                                          foreach ($dataForClean as $key => $value)                         {                                                  if(isset ($data[$value]) && count($data[$value]))                                 {                                         $this->doXssClean($data[$value]);                                 }                         }                 }               return true;         }                  protected function postFilter($filterChain)         {                 // logic being applied after the action is executed         }         private function doXssClean(&$data)         {                 if(is_array($data) && count($data))                 {                                               foreach($data as $k => $v)                        {                                $data[$k] = $this->doXssClean($v);                        }                        return $data;                 }                 if(trim($data) === '')                 {                         return $data;                 }                 // xss                             $data = str_replace(array('&amp;','&lt;','&gt;'), array('&amp;amp;','&amp;lt;','&amp;gt;'), $data);                 $data = preg_replace('/(&#*w+)[x00-x20]+;/u', '$1;', $data);                 $data = preg_replace('/(&#x*[0-9A-F]+);*/iu', '$1;', $data);                 $data = html_entity_decode($data, ENT_COMPAT, 'UTF-8');                 // Remove any attribute starting with "on" or xmlns                 $data = preg_replace('#(<[^>]+?[x00-x20"'])(?:on|xmlns)[^>]*+>#iu', '$1>', $data);                 // Remove javascript: and vbscript: protocols                 $data = preg_replace('#([a-z]*)[x00-x20]*=[x00-x20]*([`'"]*)[x00-x20]*j[x00-x20]*a[x00-x20]*v[x00-x20]*a[x00-x20]*s[x00-x20]*c[x00-x20]*r[x00-x20]*i[x00-x20]*p[x00-x20]*t[x00-x20]*:#iu', '$1=$2nojavascript...', $data);                 $data = preg_replace('#([a-z]*)[x00-x20]*=(['"]*)[x00-x20]*v[x00-x20]*b[x00-x20]*s[x00-x20]*c[x00-x20]*r[x00-x20]*i[x00-x20]*p[x00-x20]*t[x00-x20]*:#iu', '$1=$2novbscript...', $data);                 $data = preg_replace('#([a-z]*)[x00-x20]*=(['"]*)[x00-x20]*-moz-​binding[x00-x20]*:#u', '$1=$2nomozbinding...', $data);                 // Only works in IE: <span style="width: exp​ression(alert('Ping!'));"></span>                 $data = preg_replace('#(<[^>]+?)style[x00-x20]*=[x00-x20]*[`'"]*.*?exp​ression[x00-x20]*([^>]*+>#i', '$1>', $data);                 $data = preg_replace('#(<[^>]+?)style[x00-x20]*=[x00-x20]*[`'"]*.*?behaviour[x00-x20]*([^>]*+>#i', '$1>', $data);                 $data = preg_replace('#(<[^>]+?)style[x00-x20]*=[x00-x20]*[`'"]*.*?s[x00-x20]*c[x00-x20]*r[x00-x20]*i[x00-x20]*p[x00-x20]*t[x00-x20]*:*[^>]*+>#iu', '$1>', $data);                 // Remove namespaced elements (we do not need them)                 $data = preg_replace('#</*w+:w[^>]*+>#i', '', $data);                 do                 {                         // Remove really unwanted tags                         $old_data = $data;                         $data = preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i', '', $data);                 }                 while ($old_data !== $data);                                 return $data;         } } ?>
Дальше я уже завтра поищу уязвимости.

Kylaksizov, погуглите. Много полезной инфы по фильтрации найдете. Я понимаю, что нет. У вас данные тупо http-запросами передаются, на сколько я понял. Я просто пример привел. Объяснил и подтолкнул. Дальше дело за вами.

Kylaksizov, мне просто понравились эти шарики.
Теперь по теме:
Пока что нашел одну XSS атаку.
echo file_get_contents($_POST['wm']); В файле get_mes.php
Рекомендую запретить включение напрямую таких параметров. Или сделать фильтрацию запросов.

Fedya, Молодец. Только мне интересно, почему ты только с его логина пишешь, меня сможешь взломать?

Fedya, Молодец. Только мне интересно, почему ты только с его логина пишешь, меня сможешь взломать?

Ужасно работает

У меня просьба к профессионалам php. Попытайтесь взломать чей-то аккаунт в чате, или что нибудь натворить. Мне нужно знать как работает безопасность.

Свежая версия, где улучшена система безопасности.
WM-CHAT 1.2.rar

Свежая версия, где улучшена система безопасности.
WM-CHAT 1.2.rar

Собрал небольшой чатик для общения между владельцами сайтов или форумов.
 
Чат хорош тем, что если вы чем-то желаете поделиться с другими владельцами сайтов, вы делитесь в чате свободно. Т.е. пишите например сообщение, ссылку на интересную статью или хотите поделиться каким-то файлом, картинкой. А так же просто общаться.
 
Никаких левых ссылок с вашего сайта. Всё закрыто от поисковиков и посторонних лиц. Доступ к чату имеет только тот, у кого он установлен. Все сообщения чата хранятся на одном сервере. Т.е. вам ненужно устанавливать базу. Просто установить чат введя только логин и пароль, вот и вся установка.
 
Скрипт чата в свободном доступе.
 
Если я нарушил какие-то правила удалите тему, но вроде бы я написал в раздел флем.
Думаю многим будет интересно, так как на форумах не разрешают ссылок, а в чате свободно.
 
Вот скрипт чата.
Новая версия WM-CHAT 1.1.rar

Забыл приложить скриншоты, что было понятно.

Мне не нравится, когда в слове нравится есть мягкий знак

Собрал небольшой чатик для общения между владельцами сайтов или форумов.
 
Чат хорош тем, что если вы чем-то желаете поделиться с другими владельцами сайтов, вы делитесь в чате свободно. Т.е. пишите например сообщение, ссылку на интересную статью или хотите поделиться каким-то файлом, картинкой. А так же просто общаться.
 
Никаких левых ссылок с вашего сайта. Всё закрыто от поисковиков и посторонних лиц. Доступ к чату имеет только тот, у кого он установлен. Все сообщения чата хранятся на одном сервере. Т.е. вам ненужно устанавливать базу. Просто установить чат введя только логин и пароль, вот и вся установка.
 
Скрипт чата в свободном доступе.
 
Если я нарушил какие-то правила удалите тему, но вроде бы я написал в раздел флем.
Думаю многим будет интересно, так как на форумах не разрешают ссылок, а в чате свободно.
 
Вот скрипт чата.
Новая версия WM-CHAT 1.1.rar

Забыл приложить скриншоты, что было понятно.

LvsF, я додуплил, что ты, только меня интересует зачем пишешь ненужное? Если критикуешь, то я только за, что б знать и улучшить.

LvsF, значит это ты 1 ?

LvsF, Это временно)

Собрал небольшой чатик для общения между владельцами сайтов или форумов.
 
Чат хорош тем, что если вы чем-то желаете поделиться с другими владельцами сайтов, вы делитесь в чате свободно. Т.е. пишите например сообщение, ссылку на интересную статью или хотите поделиться каким-то файлом, картинкой. А так же просто общаться.
 
Никаких левых ссылок с вашего сайта. Всё закрыто от поисковиков и посторонних лиц. Доступ к чату имеет только тот, у кого он установлен. Все сообщения чата хранятся на одном сервере. Т.е. вам ненужно устанавливать базу. Просто установить чат введя только логин и пароль, вот и вся установка.
 
Скрипт чата в свободном доступе.
 
Если я нарушил какие-то правила удалите тему, но вроде бы я написал в раздел флем.
Думаю многим будет интересно, так как на форумах не разрешают ссылок, а в чате свободно.
 
Вот скрипт чата.
Новая версия WM-CHAT 1.1.rar

Забыл приложить скриншоты, что было понятно.

Баг-репорт.
А я без установки чата могу читать и писать сообщения

Использую чат с самого его создания. Участвовал в тестировании. Скажу одно: классно! Большое Спасибо Владимиру.

Ух ты! Классный чат, спасибо

Собрал небольшой чатик для общения между владельцами сайтов или форумов.
 
Чат хорош тем, что если вы чем-то желаете поделиться с другими владельцами сайтов, вы делитесь в чате свободно. Т.е. пишите например сообщение, ссылку на интересную статью или хотите поделиться каким-то файлом, картинкой. А так же просто общаться.
 
Никаких левых ссылок с вашего сайта. Всё закрыто от поисковиков и посторонних лиц. Доступ к чату имеет только тот, у кого он установлен. Все сообщения чата хранятся на одном сервере. Т.е. вам ненужно устанавливать базу. Просто установить чат введя только логин и пароль, вот и вся установка.
 
Скрипт чата в свободном доступе.
 
Если я нарушил какие-то правила удалите тему, но вроде бы я написал в раздел флем.
Думаю многим будет интересно, так как на форумах не разрешают ссылок, а в чате свободно.
 
Вот скрипт чата.
Новая версия WM-CHAT 1.1.rar

Забыл приложить скриншоты, что было понятно.

скачаешь архив, и всё из папки upload закидываешь в корень форума

Писал же в личку что не могу оплатить холстинг т.к не могу починить компьютер, по стараюсь сейчас оплатить с айпада хотя это весьма муторно. надеюсь вы вернете меня в конкурс

Спешу всем сообщить, что форум 3iu.ru/forum Дисквалифицирован!
Причина: форум не рабочий, а такие форумы, к сожалению не могут принимать участие в конкурсе. Форум должен быть рабочим на протяжении всего конкурса.
P/s lg29 я писал в личку, ты не ответил. Так что я вынужден был дисквалифицировать сам. Всё таки последний день голосования  Что бы участники (особенно владелец форума) не подумал что мы жульничаем. 

RealUser, Font Chooser что ли?